淺談企業風險管理框架下我國企業的內部控制

［摘 要］ 隨著社會經濟的持續發展， 企業內部控制也在不斷發展變化， 并日益受到廣泛的關注與重視。文中從風險管理的角度對企業內部控制的發展進行了探討，立足于對風險管理和內部控制內涵的理解，在現有內部控制理論基礎之上，以風險管理論為導向進行內部控制資源配置和關鍵控制點設計等活動，為內部控制相關目標的實現提供更多的保障。

［關鍵詞］ 風險管理 內部控制

在現代經濟領域中， 風險無處不在， 既包含導致失敗的根源， 又蘊藏著成功的種子。而企業內部控制系統就是對威脅其目的實現的風險進行管理； 但企業的內部控制能否發揮作用， 還必須考慮企業面臨的風險因素。現代企業內部審計除了關注傳統的內部控制之外，更為關注有效的風險管理機制， 使得企業內部控制也逐漸從內部財務控制的狹窄范圍中跳出來， 進入到為企業創造價值的領域中來。鑒于此， 有必要從風險管理的角度對內部控制的發展進行研究。

一、風險管理與內部控制

1.風險與風險管理

風險是對企業的目標產生負面影響的事件發生的可能性，它正面的對應物是機會。風險管理是研究風險發生規律和風險控制技術的一門新興管理學科，它是指各經濟單位通過風險識別、風險估測、風險評價等階段，并在此基礎上優化組合各種風險管理技術，對風險實施有效的控制和妥善處理風險所致的后果，期望達到以最少的成本獲得最大安全保障的目的。

2.內部控制的內涵

廣義地講，一個企業的內部控制包括為保證企業正常經營所采取的一系列必要措施。在這個廣義的定義之下，內部控制的職能不僅包括企業管理層用了授權與指揮進行購貨、銷售、生產等經營活動的各種方式、方法，也包括核算、審核、分析各種信息資料及報告的程序和步驟，還包括為對企業經濟活動進行綜合計劃、控制和評價而制定或設置的各種規章制度。因此，內部控制貫穿于企業經營活動的各個方面，只要存在企業經濟活動和經營管理，就需要有相應的內部控制。

內部控制和風險管理有一個共同的目的，就是維護投資者利益、保全企業資產，并創造新的價值。二者的目標一致，實現手段也有很多相似之處，它們同時出現讓人們分不清各自的界限。1992年COSO在《內部控制一整體框架》中將風險評估作為內部控制的五個組成要素之一，在最新出臺的《企業風險管理框架》中又進一步將內部控制擴展為風險管理，明確提出風險管理包含內部控制。2004年1月8日，我國有關方面舉辦了“商業銀行風險管理與內部控制論壇”，這表明我國銀行業也開始將內部控制與風險管理聯系起來。

二、基于風險管理下的內部控制

基于風險管理下的內部控制明確了以下內容：是一個過程;被人影響；應用于戰略制定；貫穿整個企業的所有層級和單位；旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險；合理保證；為了實現各類目標。基于風險管理下的內部控制比起傳統無論在內容還是范圍上都有所擴大和提高，具體表現在提出一個新的觀念——風險組合觀。企業風險管理要求企業管理者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施使企業所承擔的風險在風險偏好的范圍內。對企業內每個單位而言，其風險可能落在該單位的風險容忍度范圍內，但從企業總體來看，總風險可能超過企業總體的風險偏好范圍。因此，應從企業總體的風險組合的觀點看待風險。并采取措施使企業所承擔的風險在風險偏好范圍，總的來講， 基于風險管理下的內控強調在整個企業范圍內識別和管理風險的重要性，此外，根據風險管理的需要，對企業目標進行重新的分類，明確戰略目標在風險管理中的地位。

在所有權與經營權高度分離的現代企業制度中，存在著職業經營者有可能不履行其受托責任而損害股東利益的風險。企業的有限責任形式也可能導致企業不惜損害債權人的利益而從事高風險的項目。諸如此類的風險無法由市場競爭自發約束或通過市場交易規避。唯一的途徑是通過加強企業治理的責任制度，建立財務報告、內部控制、風險管理及審計制度等。

以投資業務內部控制為例，基于風險管理的投資業務內部控制設定以集團總體利益為先導的投資戰略目標，通常是由母公司戰略管理部門依據集團戰略管理目標、風險偏好和企業集團風險容忍度等因素分解成的更為具體的目標。由于投資業務受風險因素的影響很大，因此為保證投資戰略目標與企業集團的長遠目標和風險偏好一致，企業應按照企業集團的戰略管理目標和風險偏好等對投資戰略目標進行精心的審閱。

此外，內部控制環境也是整個企業集團內部控制的基礎。內部控制環境的特性最終會影響集團戰略和目標的建立，會對風險的識別、評估和風險對策的實施產生變化，會改變控制活動的設計和執行的效果，會制約公司信息和溝通系統以及監控活動的實施。企業投資前首先應預測被投資行業的競爭程度，應選擇沒有極端壟斷、競爭性又不很強的行業投資。其次必須預測本企業能夠占有多大市場份額、市場需求大小，只有充分了解市場行情，才能防范市場風險。除了對項目進行主觀可行性分析，還應該有先期的利潤預測和現金流預測，在預測有困難的情況下，企業應該把行業中的類似項目集中起來，找到該項目系統風險的近似替代值，把該近似替代值作為該項目的風險測度。

三、我國企業投資業務中投資風險管理的內部控制的幾點建議

1.止損控制。其目的就在于投資失誤時把損失限定在較小的范圍內。投資有很大的風險，萬一發生風險，止損措施可以幫助我們把虧損控制在可以忍受的幅度之內，減少損失，不至于一敗涂地。止損使得以較小代價博取較大利益成為可能。現實中無數血的事實表明，一次意外的投資錯誤足以致命，但止損能幫助投資者化險為夷。因此，在投資前考慮自身的風險承受能力，在自身風險承受范圍內設定一個可以接受的損失程度，是投資實施的先決條件。對于企業集團來說，特別應該對無法實時監控的集團低層的投資操作進行更嚴格的止損控制。

2.投資權限控制。母公司對子公司的投資權限控制主要是針對子公司經營活動中重大決策行為進行控制，權限控制規定了子公司享有何種權限，即規定了子公司在多大程度和范圍內可以做什么。因此在投資權限設置之后，關于投資權限的及時評價與調整關系到企業集團投資風險的大小。最后，經常對投資權限遵守情況進行監督檢查，確保投資權合理利用，是對集團投資風險進行控制的關鍵。

3.財務系統控制。財務制度往往針對的是已發生的業務，對新業務的控制往往不夠重視，因此應該對財務制度進行及時的更新，以降低企業集團新投資業務的風險，對投資業務真正達到從操作層面進行控制。

4.預算控制。預算控制是內部控制的重要方式。一般地說，預算控制是將企業的目標及其資源配置方式用數字作系統的闡述，并使之得以實現的企業內部活動或過程的總稱。對投資業務進行預算控制有很多益處。首先可以協調子公司及其各職能部門的工作，協調企業集團內部的經濟活動。其次預算控制使母子公司目標一致，確保了企業集團總目標的實現。但是預算控制也有缺陷。最大的問題是信息的不對稱及滯后性，這就要求集團的信息傳遞系統能夠迅速準確地發揮其應有的效應。

5.項目控制。通過項目可行性分析等方式對項目執行情況進行一系列有針對性的控制。投資項目的控制不僅體現在投資前的項目預測，也體現在后續投資的風險測度上。對項目的后續投資就不同，它可以建立在自己已有的前期投資的數據分析結果上，這樣就比較準確可靠。后續投資的風險測度因而更加重要，成為投資風險管理必不可少的重要組成部分。通過對投資風險的分析、評價后，知道風險的大致分布情況，就可以針對風險情況，采取有效的策略對風險加以防范，以盡可能地減少甚至消除非系統風險，通常使用優勢組合策略和分階段投資策略，選擇適合企業現階段狀況的投資項目，也使企業在逐漸擴大規模的基礎上不斷發展，從而避免一次投資所帶來的不確定性。

6.考核與激勵。考核與激勵制度的設置關系密切，兩者必須能夠密切的配合才能達到對投資業務的控制目的。

7.重要人事控制。為了對投資項目進行控制，母公司可以對具體項目設定責任人進行全程控制與跟進，項目責任人的設置明確了投資責任，提高了控制的實效，靈活機動，是一種經常被采用的投資業務控制方法。

總的來講，從企業總體層面上把握分散于企業各層次及各部門的風險并實施全面風險管理，在內部控制框架的基礎上建立風險管理。基于風險管理下的內控強調在整個企業范圍內識別和管理風險的重要性，此外，根據風險管理的需要，對企業目標進行重新的分類，明確戰略目標在風險管理中的地位。

參考文獻：

[1]朱榮恩 賀欣:《內部控制框架的新發展-- 企業風險管理框架》，審計研究，2003.6

[2]陳鈴:《關于我國內部控制規范建設的思考》，會計研究，2001.8

[3]楊書懷:《全面風險管理框架與內部控制整體框架的比較分析》，財會通訊，2005.11

[4]張恒:《基于風險管理下的內部控制》，商場現代化，2006.6

[5]初宜紅 劉曉紅:《基于風險管理下的內部控制研究》，價值工程，2007.6

[6]沈銀萱 涂志:《基于公司治理的內部控制研究》，北京機械工業學院學報，2004.9

[7]李昌容:《淺析我國企業內部控制的現狀及對策》，成都行政學院學報，2005.10